security

การรักษาความปลอดภยั ภายในเครือข่ายคอมพวิ เตอร์

 ผบู้ ุกรุกเครือข่ายคอมพิวเตอร์
 การรักษาความปลอดภยั บนเครือขา่ ย
 ระดบั ความปลอดภยั ของขอ้ มลู ในเคร่ืองคอมพิวเตอร์

 เทคโนโลยรี ักษาความปลอดภยั บนเครือขา่ ยคอมพิวเตอร์

27 ตุลาคม 2563 1

การรักษาความปลอดภัยภายในเครือข่ายคอมพวิ เตอร์

ในปัจจุบนั องคก์ ร หรือหน่วยงานเป็นจานวนมาก ไดส้ ร้าง
เครือขา่ ยคอมพิวเตอร์ข้ึนเพื่อใชง้ านภายในองคก์ รโดยใชม้ าตรฐาน
เดียวกนั กบั เครือข่ายอินเทอร์เน็ตท่ีเราเรียกวา่ อินทราเน็ตนน่ั เอง ซ่ึง
อินทราเน็ตน้ีจะเชื่อมโยงใหผ้ ใู้ ชง้ านทุกคนสามารถทางานร่วมกนั ได้ แต่
การทางานดงั กล่าวน้ี ไม่ไดก้ าหนดขอบเขตเฉพาะในองคก์ รเท่าน้นั มี
หลายองคก์ รท่ีไดน้ าเอาเครือข่ายอินทราเน็ตมาเช่ือมต่อเขา้ สู่เครือข่าย
อินเทอร์เน็ตเพ่ือใหก้ ารทางานสามารถเช่ือมโยงกบั องคก์ รอื่นๆ ได้

27 ตุลาคม 2563 22

การรักษาความปลอดภยั ภายในเครือข่ายคอมพวิ เตอร์

เม่ือนาเครือข่ายมาเชื่อมต่อกนั แลว้ การสื่อสารขอ้ มูลจะกระทาได้
ง่ายข้ึน แต่ถา้ มองในมุมกลบั กนั เม่ือการส่ือสารขอ้ มูลมีมากข้ึนความ
ปลอดภยั ในการสื่อสารกย็ อ่ มนอ้ ยลงตามลาดบั เพราะฉะน้นั องคก์ รกจ็ ะ
แสวงหาวธิ ีการต่างๆ เพือ่ มาใชร้ ักษาความปลอดภยั ภายในเครือขา่ ย เพือ่
มิใหข้ อ้ มูลสาคญั ๆ ขององคก์ รแพร่กระจายออกไป หรือป้องกนั มิใหผ้ ู้
บุกรุกเขา้ มาสร้างความเสียหายแก่เครือข่ายของเราได้

27 ตุลาคม 2563 33

การบุกรุกเครือข่ายคอมพวิ เตอร์

ในเครือขา่ ยคอมพิวเตอร์น้นั จะมีผเู้ ขา้ มาใชข้ อ้ มูลท้งั ในทางท่ีดีและ
ทางท่ีไม่ดี รวมท้งั ยงั มีผทู้ ่ีพยายามบุกรุกเขา้ มาในเครือข่ายเพ่อื ทาการ
แทรกแซงการใชง้ านของระบบ รวมท้งั พยายามแกไ้ ขขอ้ มูลของ
ระบบ ซ่ึงกอ็ าจทาใหเ้ กิดปัญหาภายในระบบเครือขา่ ยของเราได้
วิธีการในการเขา้ มาทาลายระบบเครือข่ายของเราจากผบู้ ุกรุกกม็ ีอยู่
หลายวธิ ีดว้ ยกนั

27 ตุลาคม 2563 44

การบุกรุกเครือข่ายคอมพวิ เตอร์

 การโจมตีรหัสผ่าน หรือ Password Attacks เป็นการเขา้ โจมตี
ระบบเครือขา่ ยโดยที่ผบู้ ุกรุกไดพ้ ยายามคาดเดา และทดลองใช้
รหสั ผา่ นเพื่อเขา้ ใชง้ านในระบบเครือข่ายใหเ้ หมือนกบั ผใู้ ชง้ าจริง

 การโจมตแี บบ Man-in-middle วิธีการน้ีเป็นวิธีการท่ีผบู้ ุกรุก
สามารถผา่ นเขา้ ถึงแพค็ เกต็ ขอ้ มูลท่ีรับส่งกนั บนเครือขา่ ยได้

27 ตุลาคม 2563 55

การบุกรุกเครือข่ายคอมพวิ เตอร์

 แพค็ เกต็ สนิฟเฟอร์ (Packet Sniffer) คือ โปรแกรมที่สามารถตรวจจบั และ
เขา้ ใชข้ อ้ มูลที่วงิ่ บนเครือข่ายได้ ซ่ึงปัจจุบนั โปรแกรมเหล่าน้ีหาดาวน์โหลด
ไดง้ ่าย เนื่องจากโปรโตคอลท่ีนิยมใชก้ นั มากคือ โปรโตคอล TCP/IP ทาให้
บุคคลบางกลุ่มลกั ลอบพฒั นาโปรแกรมที่สามารถตรวจจบั ช่ือผใู้ ชแ้ ละ
รหสั ผา่ นได้ ผบู้ ุกรุกกจ็ ะใชร้ หสั ผา่ นที่ตรวจจบั ไดเ้ ขา้ มาใชง้ านระบบของเรา
ซ่ึงอาจสร้างความเสียหายแก่ระบบไดม้ ากมาย

 ไอพสี ปูฟฟิ ง (IP Spoofing) คือ วธิ ีการท่ีผบู้ ุกรุกภายนอกสร้างขอ้ มูลปลอมท่ี
เชื่อถือ และมาขอใชบ้ ริการระบบเครือข่ายของเรา ระบบเครือขา่ ยของเราก็
อนุญาตใหใ้ ชท้ รัพยากรในเครือข่ายได้ เช่น ใชค้ า่ ไอพแี อดเดรสปลอม
เหมือนกบั ที่ใชใ้ นเครือข่ายเพื่อทาการขอใชบ้ ริการในเครือข่าย

27 ตุลาคม 2563 66

การบุกรุกเครือข่ายคอมพวิ เตอร์

 การโจมตแี บบดไี นล์ออฟเซอร์วสิ (Denial-of-Service) คือ วธิ ีโจมตีเครื่อง
เซิร์ฟเวอร์โดยการใชบ้ ริการของเซิร์ฟเวอร์จนถึงขีดจากดั จนเครื่องเซิร์ฟเวอร์ไม่
สามารถใหบ้ ริการแก่เครื่องอ่ืนๆ ได้ การโจมตีน้ีทาไดโ้ ดยการเช่ือมต่อของ
เคร่ืองเซิร์ฟเวอร์จนถึงขีดสุดของเซิร์ฟเวอร์ อาจใชโ้ ปรโตคอล TCP เป็น
เครื่องมือในการโจมตีท่ีจุดออ่ นของระบบเครือขา่ ย หรือโจมตีท่ีระบบรักษา
ความปลอดภยั เครือข่าย

 ไวรัส (VIRUS) คือ โปรแกรมทาลายระบบคอมพวิ เตอร์โดยเขา้ มาแลว้ จะ
แพร่กระจายไปในโปรแกรมอื่นภายในเคร่ืองเท่าน้นั จะไม่สามารถแพร่ไปใน
เครื่องอ่ืนๆ ไดด้ ว้ ยตวั เอง นอกจากจะมีผใู้ ชน้ าเขา้ ไปในเคร่ืองไวรัสบางชนิดอาจ
เพยี งรบกวนการทางานของผใู้ ชบ้ า้ ง แตบ่ างชนิดสามารถทาลายฮาร์ดดิสกไ์ ด้
ท้งั ตวั

27 ตลุ าคม 2563 77

การบุกรุกเครือข่ายคอมพวิ เตอร์

 เวริ ์ม (Worm) คือ โปรแกรมที่ทาลายระบบคอมพิวเตอร์มีลกั ษณะคลา้ ยไวรัส
แต่มีความรุนแรงในการทาลายระบบมากกวา่ โดยนอกจากจะแพร่กระจาย
ทาลายระบบของเคร่ืองแลว้ ยงั สามารถแพร่กระจายเขา้ ไปทาลายระบบ
คอมพวิ เตอร์เคร่ืองอ่ืนๆ ดว้ ย

 ม้าโทรจนั (Trojan Horse) คือ โปรแกรมท่ีทาลายระบบคอมพวิ เตอร์ที่แฝง
มากบั โปรแกรมอื่นๆ เช่น เกมและโปรแกรมอานวยความสะดวกต่างๆ เป็น
ตน้ เมื่อเราทาการติดต้งั โปรแกรมที่เราตอ้ งการแลว้ เร่ิมใชโ้ ปรแกรมมา้ โทร
จนั ที่แฝงมาจะเขา้ ทาลายระบบของเรา โดยใชว้ ธิ ีการต่างๆ เช่น ลบไฟลต์ ่างๆ
ภายในเครื่องหรือที่รุนแรง กวา่ คือ มา้ โทรจนั สร้างทางเขา้ ใหโ้ ปรแกรมอ่ืนๆ
เขา้ มาทาลายระบบดว้ ย เป็นตน้

27 ตุลาคม 2563 8

การรักษาความปลอดภัยบนเครือข่าย

 เมื่อมีการเชื่อมตอ่ เครือขา่ ยข้ึนยอ่ มตอ้ งมีปัญหาการบุกรุกเครือขา่ ยตามมา ซ่ึง
ระบบเครือขา่ ยคอมพวิ เตอร์ ที่ดีจึงจาเป็นตอ้ งมีระบบรักษาความปลอดภยั ซ่ึง
ระบบระบบรักษาความปลอดภยั พ้ืนฐานที่ทุกระบบควรจะตอ้ งทาคือ การต้งั ชื่อ
ผใู้ ช้ และ รหสั ผา่ นในการเขา้ ใชเ้ ครือขา่ ย

 หลกั การพ้นื ฐานในการกาหนดชื่อผใู้ ช้ และ รหสั ผา่ น
 ชื่อผ้ใู ช้ : ควรเป็นตวั อกั ษร หรือ ตวั เลข อยา่ งต่า 7 ตวั อกั ษร
 รหัสผ่าน : อาจเป็นตวั เลข หรือ ตวั อกั ษรกไ็ ด้ ควรง่ายต่อการจดจา
และยากต่อการถอดรหสั ควรมีความยาวไม่นอ้ ยกวา่ 8 ตวั อกั ษร

27 ตุลาคม 2563 9

ระดบั ความปลอดภัยของข้อมูลในเครื่องคอมพวิ เตอร์

 กระทรวงกลาโหมสหรัฐอเมริกาไดก้ าหนดมาตรฐานการรักษาความ
ปลอดภยั เรียกวา่ Orange Book ซ่ึงแบ่งระดบั ความปลอดภยั ออกเป็น
4 ระดบั ใหญ่ๆ ต้งั แต่ระดบั D1, C, B, A เรียงลาดบั ต้งั แต่ความ
ปลอดภยั นอ้ ยท่ีสุดจนไปถึงความปลอดภยั มากที่สุด

27 ตลุ าคม 2563 10

ระดบั ความปลอดภยั ของข้อมูลในเคร่ืองคอมพวิ เตอร์

 ระดบั D1 เป็นระดบั ท่ีมีความปลอดภยั ต่าที่สุด คือ ไม่มีการป้องกนั
รักษาความปลอดภยั เลย ไม่มีการกาหนดรหสั ผา่ นใดๆ แก่เคร่ืองผใู้ ช้
ระบบปฏิบตั ิการที่มีความปลอดภยั ระดบั D1 ไดแ้ ก่ ระบบปฏิบตั ิการ
Windows ทวั่ ไป, MS-DOS เป็นตน้

27 ตลุ าคม 2563 11

ระดบั ความปลอดภัยของข้อมูลในเครื่องคอมพวิ เตอร์

 ระดบั C ความปลอดภยั ในระดบั น้ี แบ่งยอ่ ยออกเป็น 2 ระดบั คือ C1 และ C2 เรียงจาก
ระดบั ความปลอดภยั ต่าไปหาสูงดงั น้ี

 ระดบั C1 คือระบบคอมพวิ เตอร์ท่ีมีความปลอดภยั เบ้ืองตน้ ซ่ึงระบบรักษาความ
ปลอดภยั น้ีจะมีการระบุชื่อ และใชร้ หสั ผา่ นก่อนเขา้ ใชง้ าน ในการแยกแยะผใู้ ชแ้ ต่ละคน
ออกจากกนั กาหนดสิทธิในการเขา้ ใชง้ านของผใู้ ชแ้ ต่ละคน แต่ในระดบั น้ียงั ไม่ได้
แยกแยะหนา้ ท่ีวา่ ใครเป็นผดู้ ูแลระบบ หรือผใู้ ชท้ ว่ั ๆ ไป ระบบปฏิบตั ิการท่ีมีความ
ปลอดภยั ระดบั C1 ไดแ้ ก่ ระบบปฏิบตั ิการ UNIX เป็นตน้

 ระดบั C2 ความปลอดภยั ในระดบั น้ีจะเพ่ิมข้ึนจากระดบั C1 เลก็ นอ้ ยคือ นอกจาก
จะมีการระบุช่ือและรหสั ผา่ นก่อนเขา้ ใชง้ านคอมพิวเตอร์ระบบปฏิบตั ิการแลว้ ยงั
แยกแยะหนา้ ท่ี และอานาจของผใู้ ช้ แต่ละคนออกจากกนั ดว้ ยและยงั บนั ทึกการทางาน
ของผใู้ ชแ้ ต่ละคนเพื่อใหผ้ ดู้ ูแลระบบสามารถตรวจสอบไดใ้ นภายหลงั ดว้ ย

27 ตุลาคม 2563 12

ระดบั ความปลอดภัยของข้อมูลในเครื่องคอมพวิ เตอร์

 ระดบั B ความปลอดภยั ในระดบั น้ี จะแบ่งออกเป็น 3 ระดบั ยอ่ ย คือ B1, B2 และ B3 เรียง
จากระดบั ความปลอดภยั ต่าไปหาสูงดงั น้ี

 ระดบั B1 ความปลอดภยั ในระดบั น้ี เพ่มิ ส่วนที่ควบคุมการใชง้ านที่เรียกวา่ Label
ข้ึน ซ่ึงส่วนน้ีจะกาหนดค่าความปลอดภยั ใหก้ บั ขอ้ มูล และอุปกรณ์ตา่ งๆ เฉพาะในส่วนที่
สาคญั ๆ เท่าน้นั ซ่ึงผทู้ ี่ตอ้ งการใชข้ อ้ มูล และอุปกรณ์ตอ้ งมีสิทธิในการเรียกใชข้ อ้ มูล และ
อุปกรณ์ไม่นอ้ ยไปกวา่ Label

 ระดบั B2 มีการเพิ่มส่วนควบคุมจากระดบั B1 ซ่ึงจะกาหนดใหท้ ุกๆ ขอ้ มูล และ
ทกุ อุปกรณ์ตอ้ งมี Label กากบั การใชง้ านไม่ใช่แต่เฉพาะอุปกรณ์สาคญั เท่าน้นั

 ระดบั B3 เป็นระดบั การรักษาความปลอดภยั ที่สูงมาก จะมีส่วนที่เพม่ิ จากระดบั B2
คือ มีการป้องกนั การบุกรุกระบบ และป้องกนั การขโมยขอ้ มูลไปใชโ้ ดยเฉพาะ มีการ
รักษาความปลอดภยั ในการเขา้ ใชร้ ะบบปฏิบตั ิการ และเครือขา่ ยอยา่ งเขม้ งวด ต้งั แต่การ
ออกแบบระบบ การใชง้ าน และการตรวจสอบรวมท้งั การแกไ้ ขเม่ือระบบหยดุ ทางาน
ระบบปฏิบตั ิการในปัจจุบนั ยงั ไม่มีระบบไหนท่ีพฒั นาไปถึงระดบั น้ีไดเ้ ลย

27 ตุลาคม 2563 13

ระดบั ความปลอดภัยของข้อมูลในเคร่ืองคอมพวิ เตอร์

 ระดบั A เป็นระดบั ความปลอดภยั ที่สูงที่สุด มีคุณสมบตั ิเหมือนกบั
ระดบั B3 แต่แตกต่างกนั เพียงจุดประสงคข์ องการออกแบบ และการ
นาไปใชง้ านจริงจะมีการตรวจสอบทุกข้นั ตอนเพ่ือใหม้ น่ั ใจวา่ ระดบั
ความปลอดภยั ระดบั น้ีจะมีผลในการนาไปใชง้ านจริง

27 ตลุ าคม 2563 14

เทคโนโลยรี ักษาความปลอดภัยบนเครือข่าย
คอมพวิ เตอร์

27 ตลุ าคม 2563 15

ไฟร์วอลล์ (Firewall)

 เป็นระบบหรือกลุม่ ของระบบ ท่ีจดั ใหเ้ ป็นทางผา่ นเขา้ ออกของขอ้ มูล เพอ่ื ป้องกนั
การแปลกปลอมของผบู้ ุกรุกจากภายนอกที่จะเขา้ สู่ระบบ แลว้ ยงั สามารถควบคุมการ
ใชง้ านภายในเครือข่ายโดยกาหนดสิทธิของผใู้ ชแ้ ตล่ ะคนใหผ้ า่ นเขา้ ออกไดอ้ ยา่ ง
ปลอดภยั เม่ือมีการเช่ือมต่อกบั อินเทอร์เน็ต ไฟร์วอลลจ์ ึงเป็นตวั ป้องกนั สาคญั ที่ใช้
ในการรักษาความปลอดภยั ในเครือขา่ ย

 ระบบของไฟร์วอลลม์ ีหลายระดบั ต้งั แต่ใชอ้ ุปกรณ์ส่ือสารทาหนา้ ท่ีเป็นไฟร์วอลล์
เช่น ใชเ้ ราทเ์ ตอร์ หรือ ฮาร์ดแวร์ไฟร์วอลล์ ทาหนา้ ท่ีเป็นไฟร์วอลลเ์ พ่ือควบคุมการ
สื่อสาร จนถึงใชค้ อมพิวเตอร์ท่ีมีซอฟตแ์ วร์ไฟร์วอลลเ์ พ่อื ป้องกนั เครือข่าย

 เหตุผลท่ีมีการใชไ้ ฟร์วอลลแ์ ลว้ ไฟร์วอลลจ์ ะเป็นเหมือนกาแพงไฟควบคุมการผา่ น
เขา้ ออกของแพค็ เกต็ ขอ้ มูล โดยทาการอนุญาต หรือไม่อนุญาตใหข้ อ้ มูลผา่ นเขา้ ออก
เครือข่าย

27 ตลุ าคม 2563 16

ไฟร์วอลล์ (Firewall)

 ในอดีตไฟร์วอลลจ์ ะถูกแบ่งออกเป็น 2 ประเภท คือ

 ระดบั แอพพลิเคชนั่ (Application level firewall) หรือ เรียกอีกอยา่ งหน่ึงวา่
แอพลิเคชน่ั เลเยอร์ไฟร์วอลล์ (Application Layer Firewall)

 ระดบั เครือขา่ ย (Network level firewall) หรือเรียกอีกอยา่ งหน่ึงวา่
แพค็ เกต็ ฟิ ลเตอร์ริ่งไฟร์วอลล์ (Package Filtering Firewall)

 แต่ในปัจจุบนั ไดม้ ีการเพ่ิมความสามารถใหม่ๆ เขา้ ไปอีก จึงแบ่งตามเทคโนโลยที ่ี
ใชใ้ นการตรวจสอบและควบคุม ไดเ้ ป็น 3 ประเภท คือ

 แอพลิเคชน่ั เลเยอร์ไฟร์วอลล์ (Application Layer Firewall)
 แพค็ เกต็ ฟิ ลเตอร์ริ่งไฟร์วอลล์ (Package Filtering Firewall)

 สเตตฟูลอินสเปคชนั่ ไฟร์วอลล์ (Stateful Inspection Firewall)

27 ตลุ าคม 2563 17

แอพลเิ คชั่นเลเยอร์ไฟร์วอลล์ (Application Layer Firewall)

 เรียกอีกอยา่ งหน่ึงวา่ พร็อกซ่ี (Proxy) หรือ Application Gateway คือ โปรแกรมท่ี
ทางานบนไฟร์วอลลท์ ่ีต้งั อยรู่ ะหวา่ งเน็ตเวริ ์ก 2 เน็ตเวิร์ก ทาหนา้ ที่เพ่ิมความปลอดภยั
ของระบบเน็ตเวิร์กโดยการควบคุมการเชื่อมต่อระหวา่ งเน็ตเวริ ์กภายในและภายนอก
Proxy จะช่วยเพม่ิ ความปลอดภยั ไดม้ ากเนื่องจากมีการตรวจสอบขอ้ มูลถึงในระดบั
ของแอพพลิเคชนั เลเยอร์ (Application Layer)

 เมื่อไคลเอนตต์ อ้ งการใชเ้ ซอร์วสิ ภายนอก ไคลเอนตจ์ ะทาการติดต่อไปยงั Proxy ก่อน
ไคลเอนตจ์ ะเจรจา (negotiate) กบั Proxy เพื่อให้ Proxy ติดต่อไปยงั เคร่ืองปลายทางให้
เม่ือ Proxy ติดต่อไปยงั เคร่ืองปลายทางใหแ้ ลว้ จะมีการเช่ือมต่อ (connection) 2 การ
เชื่อมต่อ คือ ไคลเอนตก์ บั Proxy และ Proxy กบั เครื่องปลายทาง โดยที่ Proxy จะทา
หนา้ ท่ีรับขอ้ มูลและส่งต่อขอ้ มูลใหใ้ น 2 ทิศทาง ท้งั น้ี Proxy จะทาหนา้ ท่ีในการ
ตดั สินใจวา่ จะใหม้ ีการเชื่อมต่อกนั หรือไม่ จะส่งต่อแพก็ เกต็ ใหห้ รือไม่ พร็อกซ่ีที่ดี
ตอ้ งออกแบบมาเพ่อื จดั การกบั โปรโตคอลโดยเฉพาะ ตวั อยา่ งโปรโตคอล ท่ีมีพร็อกซี่
ไดแ้ ก่ HTTP, FTP, Telnet เป็นตน้

27 ตลุ าคม 2563 18

แอพลเิ คชั่นเลเยอร์ไฟร์วอลล์ (Application Layer Firewall)

27 ตลุ าคม 2563 19

ข้อด-ี ข้อเสียของ Proxy 20

 ขอ้ ดี
 มีความปลอดภยั สูง
 รู้จกั ขอ้ มูลในระดบั แอพพลิเคชนั

 ขอ้ เสีย
 ประสิทธิภาพต่า
 แต่ละบริการมกั จะตอ้ งการโปรเซสของตนเอง
 สามารถขยายตวั ไดย้ าก

27 ตุลาคม 2563

แพค็ เกต็ ฟิ ลเตอร์ร่ิงไฟร์วอลล์ (Package Filtering Firewall)

 มีหนา้ ที่กรองแพค็ เกต็ ขอ้ มูลที่ผา่ นไฟร์วอลล์ ไฟร์วอลลช์ นิดน้ีจะอนุญาตใหม้ ีการ
เช่ือมต่อโดยระหวา่ งเครื่องไคลเอนท์ และเซิร์ฟเวอร์ อาจเป็นไดท้ ้งั ฮาร์ดแวร์ และ
ซอฟตแ์ วร์ เช่น เราทเ์ ตอร์ เป็นตน้

 เราทเ์ ตอร์มีหลกั การทางานดงั น้ี เมื่อไดร้ ับแพค็ เกต็ ขอ้ มูลกจ็ ะทาการตรวจสอบ
หมายเลขไอพีเคร่ืองปลายทาง ก่อนทาการส่งขอ้ มูลไฟร์วอลลจ์ ะทาการรองแพค็
เกต็ แพค็ เกต็ จะถูกกรองตามนโยบายควบคุมการเขา้ ถึงวา่ นโยบายอนุญาตกจ็ ะทา
การส่งขอ้ มูลตอ่ นโยบายไม่อนุญาตกไ็ ม่ส่งขอ้ มูล ถา้ ไม่ตรงกบั นโยบายขอ้ ใดเลย
ส่ิงที่ไฟร์วอลลจ์ ะทาคือ

 ถา้ มีนโยบายขอ้ ใดไม่ไดร้ ะบุไวว้ า่ อนุญาต ใหถ้ ือวา่ ไม่อนุญาต

 ถา้ ไม่มีนโยบายขอ้ ใดไม่ไดร้ ะบุไวว้ า่ ไม่อนุญาต ใหถ้ ือวา่ อนุญาต

27 ตลุ าคม 2563 21

แพค็ เกต็ ฟิ ลเตอร์ร่ิงไฟร์วอลล์ (Package Filtering Firewall)

27 ตุลาคม 2563 22

เปรียบเทยี บข้อดขี ้อเสียในการเลือกอุปกรณ์มาทาหน้าที่ Packet Filtering

ขอ้ ดี ขอ้ เสยี

เราท์เตอร์ ประสทิ ธภิ า เพมิ่ เตมิ ฟังกช์ นั การ

พสงู มี ทางานไดย้ าก, อาจ

จานวน ตอ้ งการหน่วยความจา
อนิ เตอรเ์ฟ มาก
สมาก

คอมพวิ เตอร ์ เพมิ่ ประสทิ ธภิ าพปานกลาง
ทที่ ำหน้ำที่ ฟังกช์ นั ,จานวนอนิ เตอรเ์ฟส
เป็ นเรำท ์ การทางาน นอ้ ย,อาจมคี วามเสยี่ ง
ไดไ้ ม่จากดั จากระบบปฏบิ ตั กิ ารที่ 23
เตอร ์27 ตุลาคม 2563

ข้อด-ี ข้อเสียของ Packet Filtering

 ขอ้ ดี
 ไม่ข้ึนกบั แอพพลิเคชนั
 มีความเร็วสูง
 รองรับการขยายตวั ไดด้ ี

 ขอ้ เสีย

 บางโปรโตคอลไม่เหมาะสมกบั การใช้ Packet Filtering เช่น FTP,
ICQ

27 ตุลาคม 2563 24

สเตตฟูลอนิ สเปคชั่นไฟร์วอลล์ (Stateful Inspection Firewall)

 โดยปกติแลว้ Packet Filtering แบบธรรมดา (ที่เป็น Stateless แบบที่
มีอยใู่ นเราทเ์ ตอร์ทว่ั ไป) จะควบคุมการเขา้ ออกของแพก็ เกต็ โดย
พิจารณาขอ้ มูลจากเฮดเดอร์ของแต่ละแพก็ เกต็ นามาเทียบกบั กฎท่ีมี
อยู่ ซ่ึงกฎท่ีมีอยกู่ จ็ ะเป็นกฎท่ีสร้างจากขอ้ มูลส่วนท่ีอยใู่ นเฮดเดอร์
เท่าน้นั ดงั น้นั Packet Filtering แบบธรรมดาจึงไม่สามารถทราบได้
วา่ แพก็ เกต็ น้ีอยสู่ ่วนใดของการเช่ือมต่อ เป็นแพก็ เกต็ ที่เขา้ มาติดต่อ
ใหม่หรือเปล่า หรือวา่ เป็นแพก็ เกต็ ท่ีเป็นส่วนของการเชื่อมต่อท่ี
เกิดข้ึนแลว้ เป็นตน้

27 ตลุ าคม 2563 25

สเตตฟูลอนิ สเปคช่ันไฟร์วอลล์ (Stateful Inspection Firewall)

 Stateful Inspection เป็นเทคโนโลยที ี่เพม่ิ เขา้ ไปใน Packet Filtering โดยในการพจิ ารณาวา่
จะยอมใหแ้ พก็ เกต็ ผา่ นไปน้นั แทนท่ีจะดูขอ้ มูลจากเฮดเดอร์เพียงอยา่ งเดียว Stateful
Inspection จะนาเอาส่วนขอ้ มูลของแพก็ เกต็ (message content) และขอ้ มูลท่ีไดจ้ ากแพก็ เกต็
ก่อนหนา้ น้ีที่ไดท้ าการบนั ทึกเอาไว้ นามาพิจารณาดว้ ย จึงทาใหส้ ามารถระบุไดว้ า่ แพก็ เกต็
ใดเป็นแพก็ เกต็ ที่ติดต่อเขา้ มาใหม่ หรือวา่ เป็นส่วนหน่ึงของการเช่ือมต่อที่มีอยแู่ ลว้

 ตวั อยา่ งผลิตภณั ฑท์ างการคา้ ท่ีใช้ Stateful Inspection Technology ไดแ้ ก่

 Check Point Firewall-1
 Cisco Secure Pix Firewall
 SunScreen Secure Net

 และส่วนที่เป็น open source แจกฟรี ไดแ้ ก่

 NetFilter ใน Linux (iptables ในลีนุกซ์เคอร์เนล 2.3 เป็นตน้ ไป)

27 ตุลาคม 2563 26

นโยบายรักษาความปลอดภยั ของไฟร์วอลล์

 การใชน้ โยบายรักษาความปลอดภยั เป็นสิ่งสาคญั ที่สุดในการใชง้ าน
ไฟร์วอลล์ การกาหนดนโยบายรักษาความปลอดภยั จะทาก่อนการที่
จะติดต้งั ไฟร์วอลล์ และควรวางนโยบายรักษาความปลอดภยั ให้
ครอบคลุมการใชง้ านเครือข่ายใหม้ ากท่ีสุด กฎขอ้ บงั คบั ท่ีใชใ้ น
นโยบายรักษาความปลอดภยั เรียกวา่ “ACL (Access Control List)”
เมื่อกาหนดนโยบายเรียบร้อยแลว้ จะนานโยบายไปบงั คบั ใชใ้ นไฟร์
วอลล์ เพราะถึงเราจะมีไฟร์วอลลท์ ่ีมีประสิทธิภาพสูง แต่ถา้ การ
กาหนดนบายการรักษาความปลอดภยั ที่ไม่ครอบคลุมไฟร์วอลลก์ จ็ ะ
ไม่มีประสิทธิภาพ

27 ตุลาคม 2563 27

ระบบตรวจจบั ผู้บุกรุก (IDS หรือ Intrusion Detection System)

 ระบบตรวจจบั ผบู้ ุกรุกเป็นเคร่ืองมือแจง้ เตือนในระบบรักษาความ
ปลอดภยั เครือขา่ ย โดยระบบตรวจจบั ผบู้ ุกรุกจะเพียงแจง้ เตือนภยั เมื่อ
มีผบู้ ุกรุกเขา้ มาในเครือขา่ ยไม่สามารถกาจดั ผบู้ ุกรุกเขา้ มาในเครือข่าย
ดว้ ยตวั เองได้ หนา้ ท่ีหลกั คือ แจง้ เตือนภยั ในการเขา้ ใชเ้ ครือข่ายที่
ผดิ ปกติ ระบบน้ีจะเปรียบเสมือนสญั ญาณกนั ขโมยรถยนตเ์ มื่อมีสิ่ง
ผดิ ปกติเกิดข้ึนกบั รถสญั ญาณกจ็ ะดงั ข้ึนเพ่อื ใหเ้ จา้ ของรถรู้ตวั และ
ป้องกนั ไดท้ นั

27 ตุลาคม 2563 28

27 ตลุ าคม 2563 29

ประเภทของ IDS

 IDS แบ่งออกเป็น 2 ประเภทคือ
 Host-Based IDS และ
 Network-Based IDS

 โดยโฮสตเ์ บสไอดีเอสน้นั คือ ระบบท่ีติดต้งั ท่ีโฮสตแ์ ละเฝ้าระวงั และ
ตรวจจบั ความพยายามท่ีจะบุกรุกโฮสตน์ ้นั ส่วนเน็ตเวิร์คเบสไอดีเอส
น้นั คือ ระบบท่ีตรวจดูแพก็ เกต็ ที่วิง่ อยใู่ นเครือขา่ ย และแจง้ เตือนถา้
พบหลกั ฐานท่ีคาดวา่ จะเป็นการบุกรุกเครือข่าย

27 ตลุ าคม 2563 30

Host-Based IDS

 โฮสตเ์ บสไอดีเอสเป็นซอฟตแ์ วร์ท่ีรันบนโฮสต์ โดยปกติแลว้ IDS ประเภทน้ีจะ
วเิ คราะห์ลอ็ ก (Log) เพ่ือคน้ หาขอ้ มูลเกี่ยวกบั การบุกรุก ในระบบยนู ิกซ์น้นั ลอ็ ก
ท่ี IDS จะตรวจสอบ เช่น Syslog, Messages, Lastlog และ Wtmp เป็นตน้ ส่วน
ในวนิ โดวส์น้นั IDS กจ็ ะตรวจสอบอีเวนตล์ อ็ กต่างๆ เช่น System, Application
และ Security เป็นตน้ โดยปกติ IDS จะอา่ นเหตุการณ์ใหม่ท่ีเกิดข้ึนในลอ็ กและ
เปรียบเทียบกบั กฎที่ต้งั ไวก้ ่อนหนา้ ถา้ ตรงกจ็ ะแจง้ เตือนทนั ที ดงั น้นั การท่ี IDS
จะตรวจจบั การบุกรุกไดร้ ะบบจะตอ้ งบนั ทึกเหตุการณ์ต่างๆ ท่ีสาคญั ที่เกิด
ข้ึนกบั ระบบในลอ็ กไฟล์ ถา้ ไม่เช่นน้นั IDS กไ็ ม่มีขอ้ มูลท่ีจะใชว้ เิ คราะห์วา่ มี
การบุกรุกหรือไม่

27 ตลุ าคม 2563 31

Host-Based IDS

 นอกจากการตรวจสอบลอ็ กไฟลแ์ ลว้ IDS บางชนิดอาจสามารถ
ตรวจสอบการเรียกใชฟ้ ังกช์ นั ของระบบปฏิบตั ิการ (System Call) ซ่ึง
ถา้ เหตุการณ์คลา้ ยหรือตรงกบั การบุกรุก IDS กจ็ ะแจง้ เตือนทนั ที
นอกจากน้ี IDS ยงั สามารถตรวจสอบการแกไ้ ขไฟลใ์ นระบบไดด้ ว้ ย
ซ่ึงอาจทาไดโ้ ดยการตรวจสอบวนั ท่ีที่แกไ้ ขคร้ังสุดทา้ ยและขนาดของ
ไฟล์ เป็นตน้ วธิ ีท่ีแน่นอนกวา่ กจ็ ะคานวณเชค็ ซมั (Checksum) ของ
ไฟลแ์ ลว้ เกบ็ ไวเ้ พอื่ เปรียบเทียบเม่ือมีการตรวจสอบความสงสภาพ
ของไฟลใ์ นระบบ โดยเม่ือมีการคานวณเชค็ ซมั ใหม่แลว้ คา่ ที่ไดไ้ ม่
ตรงกบั คา่ เดิมกแ็ สดงวา่ ไฟลไ์ ดถ้ ูกแกไ้ ข

27 ตลุ าคม 2563 32

ขอ้ ไดเ้ ปรียบของโฮสตเ์ บสไอดีเอส

 โฮสตไ์ อดีเอสสามารถตรวจพบทุกการบุกรุกกบั โฮสตน์ ้นั ๆ ไดเ้ สมอถา้
ระบบสามารถบนั ทึกเหตุการณ์ดงั กล่าวในลอ็ กได้ หรือการบุกบุกมีการ
เรียกใชซ้ ิสเตม็ คอลล์

 โฮสตเ์ บสไอดีเอสสามาถบอกไดว้ า่ การบุกรุกน้นั สาเร็จหรือไม่ โดยการ
วเิ คราะห์ขอ้ ความในลอ็ กหรือจากหลกั ฐานอื่นๆ เช่น มีการแกไ้ ขไฟลท์ ี่
สาคญั ของระบบ เป็นตน้

 โฮสตไ์ อดีเอสสามารถบ่งช้ีไดว้ า่ มีการเขา้ ใชร้ ะบบอยา่ งผดิ ปกติโดยผใู้ ช้
ของระบบเอง

27 ตุลาคม 2563 33

ขอ้ เสียเปรียบของโฮสตเ์ บสไอดีเอส

 โพรเซสของ IDS อาจถูกโจมตีเองจนอาจไม่สามารถแจง้ เตือนได้
 โฮสตเ์ บสไอดีเอสจะแจง้ เตือนกต็ ่อเม่ือเหตุการณ์ท่ีเกิดข้ึนน้นั ตรงกบั

ที่กาหนดไวก้ ่อนหนา้ ถา้ แฮก็ เกอร์มีเทคนิคใหม่ๆ IDS อาจไม่แจง้
เตือนการบุกรุกกไ็ ด้
 การทางานของโฮสตไ์ อดีเอสอาจมีผลกระทบต่อประสิทธิภาพของ
โฮสตเ์ องเนื่องจากตอ้ งตรวจสอบลอ็ กไฟลแ์ ละซิสเตม็ คอลล์

27 ตุลาคม 2563 34

Network-Based IDS

 เน็ตเวิร์คเบสไอดีเอสคือ ซอฟตแ์ วร์พเิ ศษท่ีรันบนคอมพิวเตอร์เคร่ือง

หน่ึงต่างหาก IDS ประเภทน้ีจะมีเน็ตเวริ ์คการ์ดที่ทางานในโหมดท่ี
เรียกวา่ “โพรมิสเซียส (Promiscuous Mode)” ซ่ึงในโหมดน้ีเน็ตเวิร์ค
การ์ดจะส่งต่อทุกๆ แพก็ เกต็ ที่วิ่งอยบู่ นเครือข่ายไปใหแ้ อพพลิเคชนั
โปรเซส ในขณะท่ีเน็ตเวิร์คการ์ดที่รันในโหมดธรรมดาน้นั จะรับเอา
เฉพาะแพก็ เกต็ ท่ีมีอยปู่ ลายทางตรงกบั ของเคร่ืองน้นั เท่าน้นั เมื่อทุกๆ
แพก็ เกต็ ส่งผา่ นไปใหแ้ อพพลิเคชนั IDS จะวิเคราะห์ขอ้ มูลในแพก็

เกต็ เหล่าน้นั กบั กฎที่ไดต้ ้งั ไวก้ ่อนหนา้ ถา้ ตรงกบั กฎกจ็ ะแจง้ เตือน
ทนั ที

27 ตลุ าคม 2563 35

Network-Based IDS

 ในแต่ละ IDS จะมีขอ้ มูลท่ีใชส้ าหรับเปรียบเทียบเพอื่ บอกวา่ มีการ
พยายามที่จะบุกรุกเครือขา่ ยหรือไม่ ซ่ึงขอ้ มูลน้ีจะเรียกวา่ “ซิกเนเจอร์
(Signature)” IDS จะใชซ้ ิกเนเจอร์ที่เกบ็ ไวเ้ ปรียบเทียบกบั ขอ้ มูลท่ีได้
จากการวิเคราะห์แพก็ เกต็ ที่วิ่งในเครือข่าย ดงั น้นั ถา้ แฮก็ เกอร์มีเทคนิค
ใหม่ๆ และ IDS ไม่รู้จกั เทคนิคน้ีหรือมีซิกเนเจอร์น้ี IDS กจ็ ะไม่
สามารถตรวจจบั การบุกรุกประเภทน้ีได้

27 ตลุ าคม 2563 36

Network-Based IDS

 โดยส่วนใหญ่แลว้ IDS ประเภทน้ีจะมี 2 เน็ตเวริ ์คการ์ด โดยเน็ตเวริ ์ค
การ์ดแรกจะเช่ือมต่อเขา้ เครือขา่ ยที่ตอ้ งการเฝ้าระวงั หรือตรวจจบั การ
บุกรุก โดยเน็ตเวริ ์คการ์ดน้ีจะไม่มีหมายเลขไอพี ดงั น้นั เคร่ืองอ่ืนๆ ท่ี
อยใู่ นเครือขา่ ยจะมองไม่เห็นเครื่องน้ี ส่วนเน็ตเวริ ์คการ์ดอีกอนั หน่ึง
จะเชื่อมต่อเขา้ กบั อีกเครือขา่ ยหน่ึงเพอื่ ใชส้ าหรับการแจง้ เตือนภยั ไป
ยงั เซิร์ฟเวอร์ โดยเครือขา่ ยน้ีจะตอ้ งไม่ถูกเชื่อมต่อกบั เครือขา่ ยหลกั ที่
IDS จะตรวจจบั การบุกรุก

27 ตลุ าคม 2563 37

ขอ้ ไดเ้ ปรียบของเน็ตเวริ ์คเบสไอดีเอส

 เน็ตเวิร์คเบสไอดีเอสจะแอบซ่อนในเครือขา่ ย ทาใหผ้ บู้ ุกรุกไม่รู้วา่
กาลงั ถูกเฝ้ามองอยู่

 เน็ตเวิร์คเบสไอดีเอสหน่ึงเครื่องสามารถใชเ้ ฝ้าระวงั การบุกรุกไดก้ บั
หลากระบบหรือโฮสต์

 เน็ตเวิร์คเบสไอดีเอสสามารถตรวจจบั ทุกๆ แพก็ เกต็ ที่ว่ิงไปยงั ระบบที่
ถูกเฝ้าระวงั ภยั อยู่

27 ตลุ าคม 2563 38

ขอ้ เสียเปรียบของเน็ตเวริ ์คเบสไอดีเอส

 เน็ตเวริ ์คเบสไอดีเอสจะแจง้ เตือนภยั กต็ อ่ เมื่อตรวจพบแพก็ เกต็ ที่ตรงกบั ซิกเน
เจอร์ที่กาหนดไวก้ ่อนหนา้ เท่าน้นั

 เน็ตเวริ ์คเบสไอดีเอสอาจพลาดที่จะตรวจจบั แพก็ เกต็ ไดใ้ นกรณีท่ีมีการใช้
เครือขา่ ยมาก จนทาให้ IDS วเิ คราะห์แพก็ เกต็ ที่วง่ิ อยบู่ นเครือขา่ ยไม่ทนั หรือมี
เสน้ ทางขอ้ มูลอื่นท่ีไม่ตอ้ งผา่ น IDS

 เน็ตเวริ ์คเบสไอดีเอสไม่สามารถสรุปไดว้ า่ การบุกรุกน้นั สาเร็จหรือไม่
 เน็ตเวริ ์คเบสไอดีเอสไม่สามารถตรวจวเิ คราะห์แพก็ เกต็ ที่ถูกเขา้ รหสั ไวไ้ ด้
 เน็ตเวริ ์คเบสไอดีเอสตอ้ งเซตเพื่อใหพ้ อร์ตท่ีเชื่อมตอ่ กบั IDS น้นั สามารถ

มองเห็นทุกแพก็ เกต็ ท่ีวงิ่ ผา่ นสวติ ซ์น้นั

27 ตุลาคม 2563 39

การแจ้งเตือนภัยของ IDS

 เมื่อ IDS ไดถ้ ูกคอนฟิ กอยา่ งถูกตอ้ งแลว้ เหตุการณ์ท่ี IDS จะรายงาน
ใหท้ ราบน้นั สามารถแบ่งออกไดเ้ ป็น 3 ประเภทคือ
 การสารวจเครือข่าย
 การโจมตี
 เหตุการณ์ท่ีน่าสงสยั หรือผดิ ปกติ

27 ตุลาคม 2563 40

การสารวจเครือข่าย

 เหตุการณ์ที่เป็นการสารวจเครือขา่ ยเป็นการพยายามของผบู้ ุกรุกที่จะรวบรวมขอ้ มูล
เก่ียวกบั ระบบเครือข่ายก่อนท่ีจะโจมตีจริงๆ เช่น

 IP Scans : ไอพสี แกนเป็นความพยายามของผบู้ ุกรุกท่ีทราบเกี่ยวกบั โฮสต์
ตา่ งๆ ที่อยใู่ นเครือขา่ ย

 Port Scans : ขอ้ มูลตอ่ มาที่ผบู้ ุกรุกตอ้ งการคือ บริการใดบา้ งที่แต่ละโฮสต์
ใหบ้ ริการอยู่ ซ่ึงหมายเลขพอร์ตน้นั จะเป็นส่ิงท่ีบ่งบอกวา่ มีแอพพลิเคชนั
ใดบา้ งที่ใหบ้ ริการอยู่

 Trojan Scans : การสแกนโทรจนั น้นั เป็นความพยายามของผบู้ ุกรุกท่ีจะ
ตรวจเชค็ วา่ มีพอร์ตของโทรจนั ใดบา้ งที่เปิ ดอยู่

 Vulnerability Scans : การสแกนหาจุดอ่อนของระบบ เป็นความพยายามท่ีจะ
ใชก้ ารโจมตีหลายๆ แบบกบั ระบบใดระบบหน่ึงเพอื่ ตรวจเชค็ ดูระบบน้ีวา่ มี
จุดออ่ นอยา่ งไร

27ตุลาคม2563 File Snooping : ไฟลส์ นูฟปิ งเป็ นการตรวจเชค็ วา่ ยสู เซอร์มีสิทธ์ิอยา่ งไรกบั 41

การโจมตี

 การโจมตีเครือข่ายหรือระบบน้นั ควรใหล้ าดบั ความสาคญั สูงสุด เมื่อ
IDS รายงานเหตุการณ์น้ีผดู้ ูแลระบบตอบสนองกบั เหตุการณ์น้ีทนั ที
เพ่อื ป้องกนั การสูญเสียมากกวา่ น้ี บางคร้ัง IDS อาจแยกแยะระหวา่ ง
การโจมตีจริงๆ กบั การสแกนหาจุดอ่อน เนื่องจากเหตุการณ์ท้งั สอง
น้นั IDS จะตรวจพบซิกเนเจอร์ของการโจมตีเหมือนกนั ผดู้ ูแลระบบ
อาจตอ้ งวิเคราะห์ขอ้ มูลเพ่ิมเติม การสแกนหาจุดอ่อนน้นั IDS จะ
รายงานการโจมตีหลายๆ รูปแบบในช่วงเวลาส้นั ๆ กบั ระบบใดระบบ
หน่ึง ส่วนการโจมตีจริงน้นั อาจมีการรายงานการโจมตีแค่รูปแบบ
เดียวกบั ระบบใดระบบหน่ึง

27 ตุลาคม 2563 42

เหตุการณ์ทนี่ ่าสงสัยหรือผดิ ปกติ

 เหตุการณ์อ่ืนๆ ที่ผดิ ปกติและไม่ไดจ้ ดั อยใู่ นประเภทต่างๆ ท่ีกล่าวมา

ขา้ งตน้ น้นั คือวา่ เป็นเหตุการณ์ท่ีน่าสงสยั วา่ อาจมีการโจมตีเครือขา่ ย
เกิดข้ึน ซ่ึงผดู้ ูแลระบบตอ้ งวเิ คราะห์และสืบหาสาเหตุของเหตุการณ์
ที่วา่ น้ีต่อ ตวั อยา่ งเช่น บางโฮสตอ์ าจส่งแพก็ เกต็ ท่ีมีขอ้ มูลส่วนหวั ผดิ
ไปจากที่กาหนดในมาตรฐาน ซ่ึงเหตุการณ์น้ีอาจเกิดข้ึนเนื่องจากการ
โจมตีแบบใหม่ หรือเน็ตเวริ ์คการ์ดเครื่องส่งอาจเสีย หรือขอ้ มูลอาจ

เกิดผดิ พลาดในระหวา่ งการส่งผา่ นสายสญั ญาณ IDS จะไม่มีขอ้ มูล

เพียงพอท่ีจะบอกไดว้ า่ เหตุการณ์น้ีเกิดข้ึนเพราะอะไร แต่จะแจง้ เตือน
ใหผ้ ดู้ ูแลระบบทราบเพื่อสืบคน้ หาสาเหตุท่ีแทจ้ ริงต่อไป

27 ตุลาคม 2563 43

"IPS" (Intrusion Prevention System)

 ปัญหาของ IDS กค็ ือ บางที IDS ไม่สามารถตรวจจบั การบุกรุกได้ เน่ืองจากมี
ปัญหาเรื่องการทางานกบั สภาวะแวดลอ้ ม Switching หรือ ทางานกบั ระบบ
Gigabit Ethernet ท่ีมีความเร็วสูง (ปกติ IDS โดยทั่วไปจะมปี ัญหาเมื่อ
Bandwidth ของระบบมากกว่า 600 Mbps)

 นอกจากน้ี ยงั เจอปัญหาอื่นๆ อีก เช่น ในกรณีของ Signature Based IDS น้นั
บางคร้ัง Signature ของการบุกรุกในแบบต่างๆ ที่ IDS รู้จกั ไม่ไดถ้ ูก update
อยา่ งสม่าเสมอ ทาให้ IDS ไม่สามารถตรวจจบั การบุกรุกได้ และ ยงั เจอกบั
เทคนิคของพวก Hacker ที่เรียกวา่ "IDS Evasion" โดย Hacker จะทาการยงิ IP
Packet ท่ีมีการดดั แปลง IP Header แปลกๆ เพ่อื หลบเล่ียงการทางานของ IDS
ตลอดจน Anomaly IP Packet แบบต่างๆ ท่ีมีการปรับแตง่ ใหแ้ ตกต่างออกไป
จาก IP Packet ปกติ ทาให้ IDS ไม่สามารถตรวจจบั และเตือนเราไดอ้ ยา่ งถูกตอ้ ง

27 ตลุ าคม 2563 44

"IPS" (Intrusion Prevention System)

 แต่ปัญหาท่ีสาคญั ที่สุดของ IDS กค็ ือ โดยส่วนใหญ่แลว้ IDS ไม่
สามารถป้องกนั การบุกรุกในลกั ษณะ "Real Time" ได้ เช่นการจู่โจม
แบบ DoS (Denial of Services) หรือ DDoS (Distributed Denial of
Services) Attack จากปัญหาน้ี จึงมีคนคิดคน้ เทคโนโลยใี หม่ข้ึนมา
เรียกวา่ "IPS" (Intrusion Prevention System) ซ่ึงเราอาจจะใหค้ าจากดั
ความง่ายๆ วา่ "IPS" = "IDS"+ "Active Response" หมายถึง IPS
สามารถป้องกนั การบุกรุกและหยดุ การบุกรุกไดท้ นั ท่วงที

27 ตลุ าคม 2563 45

"IPS" (Intrusion Prevention System)

 IPS น้นั แบ่งออกเป็น 2 Generations ใน Generation แรกน้นั การหยดุ การบุกรุกทาไดโ้ ดย
การส่งสญั ญาณ TCP Reset จดั การกบั TCP Session ที่ IPS คิดวา่ เป็นการบุกรุกหรือ
อาจจะเขา้ ไปเปลี่ยนแปลงแกไ้ ข Rules Based ใน Firewall แบบอตั โนมตั ิ ซ่ึงบางคร้ังอาจ
เกิดความผดิ พลาดได้ สาหรับ IPS ใน Generation ที่ 2 น้นั ไดม้ ีการปรับปรุงใหเ้ ป็น
ลกั ษณะ "Intelligent Network Element" ซ่ึงสามารถรู้จกั เทคนิคของพวก Hacker เช่น
IDS Evasion หรือ Anomaly IP Packet โดยมีการวเิ คราะห์ IP Packet Traffic อยา่ งละเอียด

 IPS รุ่นใหม่ท่ีมีความฉลาดมากข้ึนน้นั มีการใชเ้ ทคโนโลยขี ้นั สูงในการวเิ คราะห์ขอ้ มูล
เช่น Neutral Network และ Fuzzy Logic ซ่ึงจะทาใหล้ ดปัญหา Fault Positive และ Fault
Negative ลงไดอ้ ยา่ งมาก ตลอดจน เน่ืองจาก IPS ใชห้ ลกั การเปรียบเทียบขอ้ มูล
แปลกปลอมจากการปรับแต่ง IP Packet โดยใชม้ าตรฐาน RFC ของ IETF ในการ
ตดั สินใจ ทาให้ IPS บางรุ่น สามารถป้องกนั การ โจมตีแบบ DoS หรือ DDoS Attack ได้
ดว้ ย

27 ตลุ าคม 2563 46

ปัญหาของ IPS

 ปัญหาของ IPS กม็ ีเหมือนกนั ที่ชดั เจนเลยกค็ ือ ยงั มีราคาค่อนขา้ งแพงมาก เม่ือ
เปรียบเทียบกบั IDS ส่วนใหญ่แลว้ IPS ท่ีมาใน ลกั ษณะของ Network
Appliance น้นั จะมีราคาในหลกั ลา้ นบาทข้ึนไป และ การทางานของ IPS จะใช้
หลกั การท่ีเรียกวา่ "Inline" หรือ บางตาราเรียกวา่ "Gateway IDS" คือ มีการนา
IPS ไปก้นั กลางระหวา่ ง ตน้ ทาง กบั ปลายทาง ของเสน้ ทางการส่งขอ้ มูล โดย
ไม่ตอ้ งมีการกาหนด IP address ใหก้ บั ตวั IPS ปัญหากค็ ือ หากตวั IPS เกิดเสีย
ถา้ IPS ไม่สามารถ Bypass ตวั เองได้ กจ็ ะทาใหเ้ กิดปัญหาในการรับส่งขอ้ มูล
ระหวา่ งตน้ ทางกบั ปลายทาง ตลอดจนถา้ IPS ตดั สินใจผดิ การ "Block" IP
Packet ท่ี IPS คิดวา่ เป็นการบุกรุก แตจ่ ริงๆ แลว้ เป็น Traffic การใชง้ านธรรมดา
กจ็ ะเกิดปัญหากบั ผใู้ ชง้ านทวั่ ไปไดเ้ ช่นกนั

27 ตุลาคม 2563 47

การเข้ารหัสข้อมูล - คริพโตกราฟี (Cryptography)

 การรักษาความปลอดภยั ของเครือข่ายโดยใชไ้ ฟร์วอลล์ และ IDS อาจ
ป้องกนั การร่ัวไหลของขอ้ มูลไดไ้ ม่เพียงพอ เพราะโดยส่วนใหญ่แลว้
การรับขอ้ มูลทว่ั ไปจะอยใู่ นรูปแบบของเคลียร์เทก็ ซ์ คือ ขอ้ มูลทว่ั ๆ
ไป ซ่ึงไม่ไดร้ ับการเขา้ รหสั จึงไม่ไดร้ ับการป้องกนั ท่ีดีพอ เม่ือทาการ
ส่งขอ้ มูลผา่ นเครือข่ายจะทาใหข้ อ้ มูลถูกคดั ลอก หรือขโมยขอ้ มูลได้
ง่าย ดงั น้นั เพอื่ ป้องกนั การคดั ลอก หรือขโมยขอ้ มูลควรทาการ
เขา้ รหสั ขอ้ มูลก่อนทาการส่งขอ้ มูล

27 ตลุ าคม 2563 48

การเข้ารหัสข้อมูล - คริพโตกราฟี (Cryptography) 49

 Cryptography
หมายถึง ศาสตร์ท่ีวา่ ดว้ ยการเขา้ รหสั

 Cryptanalysis
หมายถึง ศาสตร์ท่ีวา่ ดว้ ยการถอดรหสั

 Cryptology
เป็นการรวมท้งั สองศาสตร์เขา้ ดว้ ยกนั

 Steganography
เป็นศาสตร์และศิลป์ ช้นั สูงที่วา่ ดว้ ยการ
ซ่อนหรือปกปิ ดขอ้ มูลที่เป็นความลบั
เรียกไดอ้ ีกอยา่ งวา่ digital watermarking

27 ตลุ าคม 2563

การเข้ารหัสข้อมูล - คริพโตกราฟี (Cryptography)

 ขอ้ มูลที่ยงั ไม่ถูกเขา้ รหสั จะเรียกวา่ Plain Text
 ขอ้ มูลท่ีเขา้ รหสั แลว้ จะเรียกวา่ Cipher Text
 การเขา้ รหสั ขอ้ มูลแบ่งออกเป็น 2 ประเภท คือ

 การเขา้ รหสั และถอดรหสั แบบซีเคร็ทคีย์ (Secret Key) หรือ
Symmetric Key Cryptography

 การเขา้ รหสั และถอดรหสั แบบคียค์ ู่ (Public/Private Key) หรือ
Asymmetric Key Cryptography

27 ตุลาคม 2563 50